Ir a la consola

Privacidad y seguridad en Firebase

Privacidad y seguridad en Firebase

En esta página se describe la información clave sobre la privacidad y la seguridad de Firebase. Si buscas iniciar un proyecto nuevo con Firebase o quieres conocer cómo funciona con tu proyecto existente, lee este artículo para descubrir cómo Firebase puede ofrecer protección para ti y tus usuarios.

Modificado por última vez el 19 de julio de 2018

Protección de datos

Firebase está preparado para el GDPR

El 25 de mayo de 2018, el Reglamento general de protección de datos (GDPR) de la UE reemplazará a la Directiva de protección de datos de la UE de 1995. Google está comprometido a ayudar a nuestros clientes a tener éxito bajo el GDPR, ya sean grandes empresas de software o desarrolladores independientes.

El GDPR impone obligaciones a los controladores de datos y a los procesadores de datos. Por lo general, los clientes de Firebase actúan como "controladores de datos" de la información personal sobre sus usuarios finales que proporcionan a Google en relación con su uso de Firebase. Por su parte, Google suele ser el "procesador de datos".

Esto significa que los datos están bajo el control del cliente. Los controladores son responsables de sus obligaciones, como cumplir con los derechos de una persona en relación con sus datos personales.

Si eres un cliente y quieres conocer las responsabilidades de los controladores de datos, deberías familiarizarte con las estipulaciones del GDPR y verificar tus planes de cumplimiento de normas.

Preguntas clave para tener en cuenta:

  • ¿De qué forma tu organización garantiza el control y la transparencia de los usuarios en torno al uso de datos?
  • ¿Estás seguro de que tu organización cuenta con los consentimientos apropiados en las áreas necesarias que especifica el GDPR?
  • ¿Tu organización posee los sistemas adecuados para registrar las preferencias y los consentimientos de los usuarios?
  • ¿Cómo demostrarás a los reguladores y los socios que cumples con los principios del GDPR y que tu organización es responsable?

Condiciones de seguridad y procesamiento de datos de Firebase

Por lo general, cuando los clientes usan Firebase, Google es el encargado de procesar los datos personales por ellos. Las condiciones de Firebase incluyen Condiciones de seguridad y procesamiento de datos para todos los servicios de Firebase, que se aplicarán a partir del 25 de mayo de 2018.

Ciertos servicios de Firebase que se rigen por las Condiciones del Servicio de Google Cloud Platform (GCP) ya están cubiertos por las condiciones de procesamiento de datos asociadas: las Condiciones de seguridad y procesamiento de los datos de GCP. Puedes encontrar una lista completa de los servicios de Firebase que actualmente se rigen por las Condiciones del servicio de GCP en las Condiciones de servicio de Firebase.

Google Analytics para Firebase está cubierto por las Condiciones de procesamiento de datos de Google Ads.

Firebase está certificado según los principales estándares de seguridad y privacidad

Cumplimiento de ISO y SOC

Todos los servicios de Firebase completaron correctamente los procesos de evaluación ISO 27001 y SOC 1, SOC 2 y SOC 3 y algunos además completaron los procesos de certificación ISO 27017 y también ISO 27018:

Service name ISO 27001 ISO 27017 ISO 27018 SOC 1 SOC 2 SOC 3
Google Analytics for Firebase check check check check
ML Kit for Firebase check check check check
Firebase Test Lab check check check check check check
Cloud Firestore check check check check check check
Cloud Functions for Firebase check check check check check check
Cloud Storage for Firebase check check check check check check
Firebase Authentication check check check check check check
Firebase Crash Reporting check check check check
Firebase In-App Messaging check check check check
Firebase Invites check check check check
Firebase Cloud Messaging check check check check
Firebase Predictions check check check check
Firebase Performance Monitoring check check check check
Firebase Hosting check check check check
Firebase Dynamic Links check check check check
Firebase Remote Config check check check check
Firebase Realtime Database check check check check
Firebase Platform check check check check
Firebase A/B Testing check check check check

Certificaciones del Marco de trabajo del Escudo de privacidad

En julio de 2016, la Comisión Europea concluyó que el Marco de trabajo del Escudo de privacidad entre la UE y los EE.UU. proporcionaba un mecanismo adecuado para permitir que las empresas de la UE cumplan con los requisitos de la Directiva relacionados con la transferencia de datos personales de la Unión Europea a los Estados Unidos. Google LLC está certificado según los marcos de trabajo del Escudo de privacidad entre EE.UU. y la UE y entre Suiza y EE.UU. Puedes ver la certificación en la lista del Escudo de privacidad.

Información sobre el procesamiento de datos

Ejemplos de datos personales de usuarios finales procesados por Firebase

Algunos servicios de Firebase procesan los datos personales de tus usuarios finales para proporcionar su servicio. El siguiente gráfico muestra ejemplos de cómo varios servicios de Firebase usan y controlan datos personales de usuarios finales. Además, varios servicios de Firebase ofrecen la capacidad de solicitar la eliminación de datos específicos o controlar cómo se administran.

Firebase service Personal data How data helps provide the service
Cloud Functions for Firebase
  • IP addresses

How it helps: Cloud Functions uses IP addresses to execute event-handling functions and HTTP functions based on end-user actions.

Retention: Cloud functions only saves IP addresses temporarily, to provide the service.

Firebase Authentication
  • Passwords
  • Email addresses
  • Phone numbers
  • User agents
  • IP addresses

How it helps: Firebase Authentication uses the data to enable end-user authentication, and facilitate end-user account management. It also uses user-agent strings and IP addresses to provide added security and prevent abuse during sign-up and authentication.

Retention: Firebase Authentication keeps logged IP addresses for a few weeks. It retains other authentication information until the Firebase customer initiates deletion of the associated user, after which data is removed from live and backup systems within 180 days.

Firebase Cloud Messaging
  • Instance IDs

How it helps: Firebase Cloud Messaging uses Instance IDs to determine which devices to deliver messages to.

Retention: Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

Firebase Crash Reporting
  • Instance IDs
  • Crash traces

How it helps: Crash Reporting uses crash stack traces to associate crashes with a project, send email alerts to project members and display them in the Firebase Console, and help Firebase customers debug crashes. It uses Instance IDs to measure number of users impacted by a crash.

Retention: Crash Reporting retains crash stack traces for 180 days. Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

Firebase Dynamic Links
  • Device specs (iOS)

How it helps: Dynamic Links uses device specs on iOS to open newly-installed apps to a specific page or context.

Retention: Dynamic Links only stores device specs temporarily, to provide the service.

Firebase Hosting
  • IP addresses

How it helps: Hosting uses IP addresses of incoming requests to detect abuse and provide customers with detailed analysis of usage data.

Retention: Hosting retains IP data for a few months.

Firebase Invites
  • Device specs (iOS)
  • Locally-stored contacts

How it helps: Invites allows users to send invitation links to their contacts. Those links are Firebase Dynamic Links, which use device specs on iOS to open newly-installed apps to a specific page or context.

Retention: App Invites only accesses locally-stored contacts from the device, and only stores device specs temporarily, via Firebase Dynamic Links, to provide the link service.

Firebase Performance Monitoring
  • Instance IDs
  • IP addresses

How it helps: Performance Monitoring uses Instance IDs to calculate the number of unique app instances that access network resources, to ensure that access patterns are sufficiently anonymous. Additionally, it uses IP addresses to map performance events to the countries they originate from. For more information see Data collection.

Retention: Performance Monitoring keeps instance and IP-associated events for 30 days and de-identified performance data for 180 days. Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

Firebase Predictions
  • Instance IDs

How it helps: Predictions uses Instance IDs to associate app instances with a project and to retrieve a time series of events. It uses those events to enable prediction of the likelihood of occurrence of customer-specified events, as well as spend and churn predictions by default.

Retention: Predictions stores instance-associated events for 60 days, and predictions made based on these events for a few weeks. Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

Firebase Realtime Database
  • IP addresses
  • User agents

How it helps: Realtime Database uses IP addresses and user agents to enable the profiler tool, which helps Firebase customers understand usage trends and platform breakdowns.

Retention: Realtime Database keeps IP addresses and user agent information for a few days, unless a customer chooses to save it for longer.

Google Analytics for Firebase

How it helps: Google Analytics uses the data to provide analytics and attribution information. The precise information collected can vary by the device and environment. For more information see Data collection.

Retention: Google Analytics retains certain advertising identifier associated data (e.g., Apple’s Identifier for Advertisers and Identifier for Vendors, Android’s Advertising ID) for 60 days, and retains aggregate reporting and certain user-level campaign data without automatic expiration, unless the Firebase customer changes their retention preference in their Analytics settings or deletes their project.

Firebase Remote Config
  • Instance IDs

How it helps: Remote Config uses Instance IDs to select configuration values to return to end-user devices.

Retention: Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

ML Kit for Firebase
  • Uploaded Images
  • Instance IDs

How it helps: The Cloud based APIs store uploaded images temporarily, to process and return the analysis to you. Stored images are typically deleted within a few hours. See the Cloud Vision Data Usage FAQ for more information.

Instance IDs are used by ML Kit when interacting with app instances, for example, to distribute developer models to app instances. Instance IDs also allow ML Kit to utilize Firebase Remote Config to ensure device-side APIs (e.g., topic lists and filters) are kept up to date.

Retention: Firebase retains Instance IDs until the Firebase customer makes an API call to delete the ID. After the call, data is removed from live and backup systems within 180 days.

Firebase Crashlytics For more information on Crashlytics and end-user data processing, see the Crashlytics Data Collection Policies.

Guías para habilitar la aceptación del procesamiento de datos personales de usuarios finales

Los servicios que aparecen en la tabla anterior necesitan cierta cantidad de datos personales de usuarios finales para funcionar. Como resultado, no es posible inhabilitar la recopilación de datos por completo mientras se usen estos servicios.

Si eres un cliente que desea ofrecer a los usuarios la posibilidad de aceptar un servicio, junto con su respectiva recopilación de datos, en la mayoría de los casos basta con agregar un diálogo o un botón para activar o desactivar la configuración antes de usar el servicio.

Sin embargo, algunos servicios se inician automáticamente cuando se incluyen en una app. Si deseas que los usuarios tengan la posibilidad de aceptar antes de usar esos servicios, puedes inhabilitar la inicialización automática de cada uno y, luego, iniciarlos de forma manual en el tiempo de ejecución. Para aprender a hacerlo, lee las guías que aparecen a continuación:

Ubicaciones de procesamiento y almacenamiento de datos

A menos que un servicio o una función permita seleccionar la ubicación de los datos, es posible que Firebase procese y almacene tus datos en cualquier instalación de Google o sus agentes. Las posibles ubicaciones de las instalaciones varían según el servicio.

Servicios solo para EE.UU.

Algunos servicios de Firebase se ejecutan solo desde centros de datos en EE.UU. Por lo tanto, esos servicios procesan datos exclusivamente en Estados Unidos.

  • Firebase Realtime Database
  • Firebase Hosting
  • Firebase Test Lab
  • Firebase Authentication

Servicios globales

La mayoría de los servicios de Firebase se ejecutan en la infraestructura global de Google. Podrían procesar datos en cualquiera de las ubicaciones de Google Cloud Platform o de los centros de datos de Google. Para algunos servicios, puedes realizar una selección de ubicación de datos que restrinja el procesamiento a esa ubicación.

  • Cloud Storage para Firebase
  • Cloud Firestore
  • Cloud Functions para Firebase
  • Firebase Performance Monitoring
  • Firebase Crash Reporting
  • Firebase Dynamic Links
  • Firebase Invites
  • Firebase Remote Config
  • Firebase Cloud Messaging
  • Firebase Predictions
  • Google Analytics para Firebase
  • Kit de AA para Firebase

Información de seguridad

Encriptación de datos

Los servicios de Firebase encriptan datos en tránsito con HTTPS y datos de clientes aislados de manera lógica.

Además, varios servicios de Firebase también encriptan sus datos en reposo:

  • Cloud Firestore
  • Cloud Functions para Firebase
  • Cloud Storage para Firebase
  • Firebase Authentication
  • Firebase Cloud Messaging
  • Firebase Realtime Database
  • Firebase Test Lab

Prácticas de seguridad

Para mantener protegidos los datos personales y reducir al mínimo el acceso a ellos, Firebase aplica medidas de seguridad exhaustivas:

  • Firebase restringe el acceso a una selección de empleados que tienen un fin comercial para acceder a los datos personales.
  • Firebase registra el acceso de los empleados a los sistemas que contienen datos personales.
  • Firebase solo permite que accedan a los datos personales los empleados que lo hacen con el Acceso con Google y la autenticación de dos factores.

¿Tienes más preguntas? Comunícate con nosotros

Si tienes preguntas relacionadas con la privacidad que no se incluyen aquí, comunícate con nosotros mediante el formulario de Servicios de cuenta.